はじめに 皆様こんにちはこんばんは、Microsoft Entra ID (Azure AD) とOkta WICをこよなく愛するネクストモードのおはらふです
はじめに
こんにちはこんばんは、Okta WICをこよなく愛するネクストモードのおはらふです
Okta WICを使っていて、このボタン押すとどうなるんだろう?と思ったことや、押すのが怖いなーと思ったボタンとかのご経験はありませんか?
そんな中で、おそらくトップクラスに押すのを躊躇するボタンを押してみたので、どうなったか含めて紹介します
キーワード
Okta、Okta WIC、押すなよ押すなよ、パスワードの有効期限切れ
押すのが怖すぎるボタン
IDaaSとして様々なSaaSとの連携や、独自のセキュリティ向上に向けた仕組みを多く備えているOkta WICですが、今回押してみるボタンはPeople(ユーザー)にある、こちらのボタンになります
「パスワードの期限切れ」と、これだけだと何なのかよく分からないのでスルーしている情シス管理者の方も多い(自分もそうだった)と思いますが、実はこれ、結構危険なボタンです
指定したユーザーのパスワードを期限切れ(Expire)させるかと思いボタンを押してみると・・・
どうやら確認してくれるっぽいらしいですが、ボタンが「パスワードの期限切れ」になっていて訳し方が怖い時もあるので英語も確認してみます
英語でもなんとなく確認してくれそうな事書いてありますが、押すボタンがやはり「Expire password」なのが気になるところです
結論から言うとこのボタンは、すべてのユーザーのパスワード有効期限切れを「確認 (Comfirm)」 するのではなく、パスワードを有効期限切れにする「承認 (Confirm) 」のボタンです
押してみた
というわけで全ユーザーのパスワードを有効期限切れにしてみましょう!!
ボタンを押すと保護されているアクションだから認証が必要だと出て、自動的にいつもの認証画面が出てきます
権限はAdmin Consoleでいいみたいです
※状況によっては追加認証が出ないこともあるので、出るもんだと思って気軽に押すのはお勧めしないです
そんなわけでいつも通り認証させると・・・
やっと本来の意味である文章が出てきてくれました
検証環境は10ユーザー程しかいないので、10秒もかからず実行完了しました
そんなわけで・・・
Before
After
綺麗に全ユーザーのパスワードが有効期限切れになりました!
気になること
Q. Entra ID等からID連携されている、OktaをSPとしているユーザーはどういう動作になるか
A. ボタン押す際の文章にも書いてあった通り「Oktaをソースにしているユーザー」が対象のため、IdPがEntra ID等の外部SaaSの場合はリセットの影響を受けません
Q. どういうログが出力されるのか
A. 「ユーザーパスワードを一括で期限切れにする」という分かりやすすぎるログが出力されます
同時にメール送信のログも出ていますが、受信できた試しはありませんでした
Q. 普段生体認証とかでパスワードレスにしてるけど、エンドユーザーになにか影響あるか
A. 基本影響ないです。ポリシーの作り方にもよりますが、「パスワード有効期限切れ」状態でも問題なく生体認証等でログイン出来ます
Q. で、いつ押すんですかこのボタン?
A. ヤバいと思ったときにとりあえずやった感は出ると思いますよ!
真面目な話、本当にヤバいときは全ユーザー非アクティブ化してください
おわりに
初めは検証環境とはいえ押すのが怖かったですが、今ではいくらでも気軽に押せるメンタルをゲットしました
他に怖いボタンあればぜひ教えて下さい!
